Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google va renvoyer plus souvent vers des pages HTTPS

Pas de panique... mais commencez à vous inquiéter
Internet 2 min
Google va renvoyer plus souvent vers des pages HTTPS
Crédits : zmeel/iStock

Google veut renvoyer de plus en plus d'utilisateurs vers des pages sécurisées. Ainsi, le moteur de recherche va commencer à prendre davantage en compte le fait qu'une version HTTPS d'une page existe. Mais cela sera pour le moment fait avec prudence.

Google continue de renforcer sa prise en compte des sites accessibles via HTTPS au sein de ses résultats. Après avoir indiqué que cela était pris en compte comme signal par son algorithme, de manière légère, on apprend qu'une nouvelle étape va être franchie. 

Si une version HTTPS d'une page existe, Google va parfois la prendre en compte

En effet, certains sites disposent d'une version HTTPS, mais ne proposent pas de redirection, pour plusieurs raisons. La première est en général que cela bloque l'accès à la publicité qui n'est pas chargée de manière sécurisée au sein de la page. Parfois, c'est qu'il reste encore des ressources chargées via HTTP (comme les images). La possibilité existe donc, mais n'est pas mise en avant.

Google indique de son côté qu'il va désormais commencer à indexer de plus en plus de contenu à travers les URL accessibles via HTTPS. Ainsi, lorsqu'une version sécurisée existera, elle sera utilisée en priorité. Néanmoins, cela se fera sous certaines conditions uniquement pour le moment. Il faut par exemple que la page ne contienne pas de dépendances non sécurisées, ne soit pas bloquée dans le fichier robots.txt, ne contienne pas de lien canonique vers la version HTTP et que le serveur dispose d'un certificat TLS valide.

Cela devrait donc encore concerner un nombre très limité de cas, même si paradoxalement certains vont peut-être désormais chercher à couper l'accès à la version HTTPS pour éviter de voir Google envoyer des utilisateurs en masse dessus alors que les espaces publicitaires ne sont pas affichés.

Tout HTTPS au sein de Google : ce n'est qu'une question de temps, mais rien n'est prêt

Quoi qu'il en soit, Google continue d'avancer dans une direction qui semble claire, bien qu'il tarde à établir un calendrier de manière publique : une prise en compte progressive de HTTPS par défaut. Il n'est donc sans doute qu'une question de temps avant que toutes les URL vers lesquelles Google renvoie soient une version sécurisée, quitte à ce que les sites décident ensuite de ce qu'il faut faire.

Viendra alors le temps de la prise en compte plus massive de la disponibilité d'une version HTTPS dans les résultats de recherche. Une décision à laquelle personne n'est encore préparé puisque le marché publicitaire est pour le moment plus préoccupé par ses questions de visibilité ou de blocage, que par une migration massive à des serveurs accessibles uniquement de manière sécurisée. Et lorsque ce sera fait, ce sont les éditeurs qui n'auront pas fait les bons choix qui paieront les pots cassés.

36 commentaires
Avatar de KaKi87 Abonné
Avatar de KaKi87KaKi87- 18/12/15 à 08:02:07

Quelle est la différence entre un site en HTTP et un site en HTTPS avec des dépendances non sécurisées ?
Pour l'instant, vive HTTPS Everywhere.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 18/12/15 à 08:04:12

un certificat TLS valide

C'est moins sale que certificat SSL, mais ce n'est toujours pas ça :langue:

Bon sinon, le tout HTTPS c'est très bien, mais il faut surtout que les bonnes pratiques de déploiement de TLS se répandent et surtout que les boites comme Google filent du pognon à OpenSSL (et LibreSSL). Parce que si OpenSSL est la passoire que l'on connaît c'est notamment à cause de son budget anémique. Alors que plein de sociétés se sont fait une fortune en l'exploitant.

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 18/12/15 à 08:16:23

Ethttps://letsencrypt.org/ ?

Sinon j'allais demandé ce qui empêchait les pubs de s'afficher sur du https mais le dernier paragraphe y répond, c'est leur faute quoi, pas de soucis technique à faire, faut juste le faire, migrer.

Avatar de gokudomatic INpactien
Avatar de gokudomaticgokudomatic- 18/12/15 à 08:22:41

Comment osent-ils nous imposer des versions sécurisées des sites? Inadmissible!
Maintenant il va falloir que j'enlève manuellement le s quand je vais sur un site. Ou alors utiliser qwant.

Je dis ça parce que dans mon entreprise, le firewall fait un message d'erreur quand le certificat n'est pas 100% valide sur un lien https, ce qui rend la navigation sur la plupart des sites sécurisés impossible.

Édité par gokudomatic le 18/12/2015 à 08:23
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 18/12/15 à 08:25:56

Je ne sais pas encore quoi trop penser de Let's Encrypt.

D'un côté ça permet un déploiement pas trop compliqué, de l'autre, ça me semble compliquer certaines techniques de sécurisation (HPKP et DANE. Bon, DANE n'est pas encore implémenté dans les navigateurs, m'enfin bon). De plus, les outils de base fournis n'ont pas l'air convaincant (bon, c'est une bêta, attendons un peu)

Du coup, j'attends de lire des retours de la bêta notamment sur ces points. (Y a des expériences en cours).

Note : je suis devenu un nazi avec TLS, ceci explique peut-être cela :D

Avatar de Exception INpactien
Avatar de ExceptionException- 18/12/15 à 08:29:52

NXI a réglé le problème en redirigeant le https vers le http.
Eh oui l'argent d'Adsense avant la sécurité des visiteurs...

Avatar de Soltek INpactien
Avatar de SoltekSoltek- 18/12/15 à 08:33:39

C'est vrai que poster ton commentaire en http c'est vachement dangereux oulala.
Par contre la gestion du compte en https on s'en fout ouais.

Et sinon en abonné on a tout le site en https nous :p

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 18/12/15 à 08:33:44

Exception a écrit :

NXI a réglé le problème en redirigeant le https vers le http.
Eh oui l'argent d'Adsense avant la sécurité des visiteurs...

Pas d'argent, pas de site, plus de visiteur... je sais qu'on est :dredi: mais bon...

Avatar de spidy Abonné
Avatar de spidyspidy- 18/12/15 à 08:42:01

ce qui m’embête c'est la duré limitée des certificats, 90 jours, même si le système de renouvellement est rapide apparemment.

sinon, comment est faite la vérification de l'appartenance au nom de domaine ? n'importe qui peut générer des certificats pour le domaine google.fr ?

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 18/12/15 à 08:42:30

Oui enfin avec un certificat CloudFlare qui est valide pour une dizaine de sites. (C'est un peu sale)

Il n'est plus possible de commenter cette actualité.
Page 1 / 4